Jak jeden błąd człowieka (prawie) położył giganta? Cyberatak na Jaguar Land Rover

Myślisz, że cyberbezpieczeństwo to problem tylko dla działu IT? Że "Ciebie to nie dotyczy"? Albo że Twojej firmy "nie ma z czego okraść"? Powiedz to firmie Jaguar Land Rover (JLR).

Gigantyczny cyberatak, który uderzył w koncern 31 sierpnia 2025 roku, sparaliżował firmę na ponad sześć tygodni. W najbardziej pesymistycznym scenariuszu atak ten mógł doprowadzić do całkowitego upadku jednego z filarów brytyjskiej gospodarki. To nie jest teoria. To wydarzyło się naprawdę, na naszych oczach.

Atak na Jaguar Land Rover był klasycznym przykładem ransomware - oprogramowania, które szyfruje dane i żąda okupu za ich odblokowanie. Atakujący, zidentyfikowani jako anglojęzyczna grupa Scattered Spider, uderzyli z chirurgiczną precyzją. Incydent rozpoczął się 31 sierpnia 2025 roku i został wykryty tego samego dnia. Reakcja była natychmiastowa - już 1 września produkcja została wstrzymana. Nie był to jednak krótkotrwały problem.

Atak nie ograniczył się do jednej fabryki. Wyłączenie objęło zarówno kluczowe zakłady w Wielkiej Brytanii, jak i oddziały zagraniczne. Przez ponad miesiąc z linii montażowych, które normalnie opuszczają dziesiątki aut dziennie, nie zjechał ani jeden samochód. Początkowo koncern miał nadzieję na wznowienie operacji 1 października, jednak skala zniszczeń była zbyt duża. Dopiero 8 października 2025, po ponad sześciu tygodniach, firma ogłosiła rozpoczęcie "kontrolowanego, fazowego restartu produkcji".

Skutki finansowe są trudne do wyobrażenia. Szacuje się, że przestój kosztował JLR nawet 50 milionów funtów tygodniowo. Ekonomiści oceniają łączne straty przychodów na 2,2 miliarda funtów. Sytuacja stała się tak poważna, że brytyjski rząd musiał interweniować, gwarantując firmie 1,5 miliarda funtów pożyczki, aby uchronić ją przed upadkiem i niewypłacalnością.

Liczby nie oddają jednak pełnego obrazu. Atak dotknął bezpośrednio 30 000 pracowników JLR i ponad 100 000 osób zatrudnionych w całym łańcuchu dostaw. Firmy takie jak Genex UK, Evtec, WHS Plastics czy OPmobility, będące dostawcami JLR, musiały wysyłać ludzi na bezpłatne urlopy lub redukować etaty. Skutki odczuli nawet konkurenci.

Aston Martin oficjalnie poinformował giełdę londyńską, że nie może wykluczyć negatywnego wpływu tego incydentu na własne finanse. Upadek lokalnej gospodarki był widoczny gołym okiem.

Właściciele pubów i kawiarni w okolicach fabryk informowali, że pracownicy, obawiając się o przyszłość, przestali wydawać pieniądze. Rodziny żyły w strachu, czy będą w stanie zapewnić dzieciom święta.

To nie tylko ich problem. Mamy własne "JLR".

Myślisz, że to odległy problem? Błąd. Nie musimy patrzeć na Wielką Brytanię, by zobaczyć paraliż wywołany przez ransomware. Mamy własne, bolesne przykłady.

Pamiętasz chaos w Lotniczym Pogotowiu Ratunkowym (LPR)? To był ten sam scenariusz. W 2023 roku atakujący zablokowali kluczowe systemy, uniemożliwiając m.in. planowanie lotów. Zagrożona była koordynacja działań, które ratują ludzkie życie. Wszystko przez atak, który prawdopodobnie zaczął się od zainfekowanego załącznika.

A to tylko wierzchołek góry lodowej.

Ataki na polskie firmy takie jak Suder czy EkoTrade pokazują, że celami są też polskie przedsiębiorstwa. Obie firmy padły ofiarą ransomware, co skończyło się zaszyfrowaniem danych i potężnymi stratami finansowymi oraz operacyjnymi. Statystyki są alarmujące: Polska jest w TOP 5 krajów na świecie najczęściej i najskuteczniej atakowanych przez ransomware. Jesteśmy dla cyberprzestępców bardzo atrakcyjnym i, niestety, często łatwym celem.

Dlaczego człowiek to wciąż najsłabsze ogniwo?

Jak to możliwe, że grupa hakerów włamuje się do wartego miliardy koncernu, paraliżuje system ratownictwa medycznego albo zatrzymuje polską fabrykę? Nie musieli wyważać cyfrowych drzwi. Wystarczyło, że otworzył im je nieświadomy pracownik. Człowiek to ciągle najsłabsze ogniwo.

W przypadku JLR, grupa Scattered Spider znana jest ze swojej specjalizacji: dzwonienia do ludzi. To tak zwany vishing (voice phishing). Atakujący dzwonią do działu helpdesk lub bezpośrednio do pracowników, podszywają się pod kogoś innego (np. technika IT z innej lokalizacji) i tak manipulują rozmową, że ofiara sama podaje im hasła lub instaluje "pilną aktualizację".

W przypadku LPR czy wielu innych ataków, wektor jest jeszcze prostszy: klasyczny phishing. Wystarczy jeden mail, który udaje fakturę, pilne polecenie szefa czy informację z działu kadr. Jeden nieświadomy pracownik, jedno kliknięcie w zły załącznik i katastrofa gotowa.

Myślisz, że to rzadkość? W jednej z symulacji ataków phishingowych, które przeprowadziłem, aż 63 osoby otworzyły fałszywego maila, a 37 z nich podało swoje prawdziwe, firmowe hasła na podstawionej stronie. Wystarczyłby jeden z nich, by przejąć firmę.

Co możesz z tym zrobić?

Ataki na JLR, LPR czy EkoTrade doskonale pokazują, że cyberbezpieczeństwo to nie zadanie tylko dla IT. To odpowiedzialność każdego pracownika. Koszt edukacji i szkoleń jest absolutnym ułamkiem w porównaniu do 2,2 MILIARDA funtów strat JLR czy paraliżu systemu ratującego życie w Polsce.

Zabezpieczenia techniczne są ważne, ale bez świadomego człowieka są jak najdroższe drzwi antywłamaniowe pozostawione na oścież.